• Home  / 
  • DELIBERATION 2006-158

DELIBERATION 2006-158

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés ;

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 25-8° ;

Vu la demande d'autorisation présentée par la société La Mesta Chimie Fine SAS portant modification d'un traitement automatisé de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance des empreintes digitales et ayant pour finalité le contrôle de l'accès aux locaux ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu la délibération n° 2006-071 du 16 mars 2006 du portant autorisation de la mise en oeuvre par la société La Mesta Chimie Fine SAS d'un traitement automatisé de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance des empreintes digitales et ayant pour finalité le contrôle de l'accès aux locaux ;

Après avoir entendu M. Hubert Bouchet, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement en ses observations ;

Formule les observations suivantes :

Le 26 avril 2006, la société La Mesta Chimie Fine SAS, a adressé à la Commission nationale de l'informatique et des libertés une demande d'autorisation portant modification du dispositif de reconnaissance des empreintes digitales ayant pour finalité le contrôle de l'accès aux locaux dont la mise en oeuvre avait été autorisée par la délibération numéro 2006-071 du 16 mars 2006.

Cette demande a principalement pour objet la modification des modalités de stockage des empreintes digitales des employés concernés. Ainsi, la société La Mesta Chimie Fine SA souhaite désormais enregistrer les empreintes digitales des employés dans une base de données et non plus au sein d'un support individuel comme cela était le cas précédemment.

La Commission considère que la modification des fonctions générales du traitement, en l'espèce des modalités de stockage des empreintes digitales, porte sur l'un des éléments visés au 2° du 1 de l'article 30 de la loi du 6 janvier 1978 modifiée et constitue une modification de caractère substantiel. En conséquence, il y a lieu pour la Commission de faire application de l'article 25-8° de la loi du 6 janvier 1978 modifiée en août 2004 qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l'identité des personnes.

La société La Mesta Chimie Fine SA, spécialisée dans la fabrication de principes actifs pour l'industrie pharmaceutique, précise que le dispositif reposant sur l'utilisation d'une carte à puce s'est avéré inadapté aux contraintes liées au fait que le site dont elle souhaite contrôler les accès relève de la réglementation sur les installations classées pour la protection de l'environnement (ICPE) soumis à une autorisation d'exploiter préfectorale.

S'agissant d'un site classé de type "SEVESO seuil bas" dans lequel sont stockés simultanément des produits dangereux, la société La Mesta Chimie Fine SAS a obligation de mettre en oeuvre un Plan d'Opération Interne (POI) dans lequel sont définis les mesures d'organisation et les moyens à mobiliser pour protéger le personnel, la population et l'environnement en cas d'accident. A ce titre, la société La Mesta Chimie Fine SAS doit être en mesure de fournir, en cas d'exercice d'évacuation ou d'accident, la liste exacte des personnes présentes sur le site.

Or, le recours à un support individuel de stockage des empreintes digitales ne permet pas de savoir quelles sont les personnes présentes sur les lieux en cas d'oubli, de perte, de vol ou d'endommagement des cartes. Dès lors, afin d'assurer le suivi exhaustif des personnes accédant au site et de garantir la fiabilité de l'historique de leurs passages, la modification du dispositif apparaît nécessaire.

Ainsi, le dispositif modifié reposera sur plusieurs boîtiers répartis aux différents points d'accès au site et au local de maintenance. Les gabarits des empreintes digitales des personnes habilitées à accéder au site et au local de maintenance seront enregistrés dans ces boîtiers. Ces derniers seront reliés à un serveur au niveau duquel seront enregistrés l'identité des employés (nom, prénom). Lors du contrôle d'accès, l'employé apposera son doigt sur le lecteur biométrique du boîtier, une comparaison s'effectuera alors entre cette empreinte digitale et le gabarit enregistré dans la base de données du lecteur.

Les données relatives à l'historique des passages seront conservées pendant un mois. La durée de conservation relative à l'identité de l'employé et au gabarit de l'empreinte digitale, sera égale au temps pendant lequel la personne concernée travaille pour la société Mesta Chimie Fine.

Une information et une consultation du Comité d'Entreprise a été effectuée conformément aux dispositions de l'article L. 432-2 du Code du travail. L'information individuelle des employés est effectuée au moment de l'enrôlement. Les employés peuvent accéder en ligne à leur dossier comportant l'historique de leurs passages après saisie d'un mot de passe et d'un nom d'utilisateur.

Enfin, les mesures prises en vue de garantir la sécurité des données, apparaissent conformes à l'état de l'art et aux exigences de la Commission. S'agissant du contrôle d'accès logique au système, les éléments d'informations figurant dans les dossiers apparaissent satisfaisants notamment, concernant l'administration des mots de passe et la politique de gestion des accès dans la mesure où, seuls le responsable Hygiène et sécurité et le chef de service administratif disposent de l'habilitation pour accéder aux données. Enfin, il convient de préciser d'une part, que l'accès à l'application et aux fichiers contenant les données à caractère personnel fera l'objet d'une journalisation et, d'autre part, que le dispositif repose sur un réseau privé permettant de prévenir tout risque d'intrusion extérieur.

Compte tenu d'une part, du fort impératif de sécurité lié à la nécessité de contrôler l'accès à un site classé de type "SEVESO" dans lequel sont stockés simultanément des produits dangereux et, d'autre part, de l'obligation de fournir la liste exacte des personnes présentes sur le site, les traitements et notamment, le recours à la constitution de bases de données biométriques, sont adaptés et proportionnés à la finalité assignée au dispositif.

Les droit d'accès et de rectification s'exerceront auprès du Directeur administratif et financier de la société La Mesta Chimie Fine SAS, sise Pont Charles Albert - 06830 Gilette.

Les catégories de données à caractère personnel enregistrées seront l'identité des employés (nom, prénom), le gabarit de leur empreinte digitale et l'historique des passages.

Les destinataires des informations seront, dans la limite de leurs attributions respectives et pour la poursuite de la finalité précitée, le responsable hygiène et sécurité et le chef de service administratif.

Autorise, dans ces conditions, la société La Mesta Chimie Fine SAS à mettre en oeuvre le traitement de données à caractère personnel présenté.

Le président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: